2021HCNA security 網(wǎng)絡(luò)安全配置

HCNAsecurity網(wǎng)絡(luò)安全課程簡介USG模擬器使用①環(huán)境準(zhǔn)備權(quán)限默認(rèn)地址admin Admin@123默認(rèn)密碼更改之后密碼：abc-1234 （abc-12345）②清空配置刪除除拓?fù)湟酝獾奈募A<>reset saved-configuration重啟③ 雙橋接④實(shí)驗(yàn)手冊(cè)見群共享⑤CE6800交換機(jī)OSI模型OSI模型：opensysteminterconnection開放式系統(tǒng)互聯(lián)（七層）一層：物理層：物理線纜二層：數(shù)據(jù)鏈路層：mac地址三層：網(wǎng)絡(luò)層：IP地址四層：傳輸層：端口號(hào)（TCPUDP五層：會(huì)話層七層：應(yīng)用層注意：osi目前已經(jīng)被淘汰。目前tcp/ip已經(jīng)取代osi模型。TCP/IP模型ipv4報(bào)文：version版本：4 ipv4IHL（header）：ipv4包頭長度（變化TOS（dDSCP差分服務(wù)代碼點(diǎn)）：服務(wù)質(zhì)量 將流量進(jìn)行分類，然后針對(duì)特定類的數(shù)據(jù)包實(shí)現(xiàn)優(yōu)先轉(zhuǎn)發(fā)totallength：總長度 總長度-頭部長度=高層數(shù)據(jù)標(biāo)識(shí)、標(biāo)記、分片偏移用來對(duì)數(shù)據(jù)包進(jìn)行分片和重組identification標(biāo)識(shí)位：標(biāo)記屬于同一片報(bào)文的idflags標(biāo)記：標(biāo)記最后一片報(bào)文，告知下一個(gè)路由器同一個(gè)包分片結(jié)束fragmentoffset偏移位：用來確保重組的順序TTL（timetolive）：生存周期 現(xiàn)在用來記錄傳輸?shù)奶鴶?shù) 止三層路由環(huán)路 報(bào)文通過三層設(shè)備時(shí)才會(huì)減一protocol協(xié)議字段：標(biāo)識(shí)上層協(xié)議 1ICMP 6TCP UDPheaderchecksum頭部校驗(yàn)：校驗(yàn)ipv4損壞options選項(xiàng)位：對(duì)于ipv4報(bào)文的高級(jí)功能（如松散源路由等進(jìn)行定義 可有可無padding填充位：在options不足32bit時(shí)，使用padding填充0。各層協(xié)議之間的關(guān)系例如：數(shù)據(jù)鏈路層為三層的網(wǎng)絡(luò)層服務(wù)二層type:0x0800 >ip二層type:0x0806 >arp例如：三層protocol:6 >tcp三層protocol:17 >udp三層protocol:1 >icmp例如：四層：端口：80 >http21 >ftp23 >telnet二層：type>三層：protocol>四層：端口>高層應(yīng)用層各個(gè)層次的攻擊手段kali踩點(diǎn)掃描篇工具：nmap zenmapnmap -sP -120 對(duì)6.1-6.120使用ping行掃描3-5s即可完成zenmap：圖形界面nmapZenmap是nmap的GUI版本，由nmap官方提供，通常隨著nmap安裝包一起發(fā)布。Zenmap是用Python語言編寫的，能夠在Windows、Linux、UNIX、MacOS等不同系統(tǒng)上運(yùn)行。開發(fā)Zenmap的目的主要是為nmap提供更加簡單的操作方式。intense：強(qiáng)烈的 認(rèn)真的細(xì)致scan：掃描comprehensive：綜合的完整的20個(gè)地址大概需要掃描5分鐘中斷掃描：mannmapnmapnmap使用參考鏈接：/hanxiaobei/p/5603491.htmlScanPortpassword…3.rar31.79KBX-Scan-v3.3passw…3.rarScanPortpassword…3.rar31.79KBX-Scan-v3.3passw…3.rar12.42MB（此版本只能在xp中使用）scanport快速掃描端口xscan掃描對(duì)方系統(tǒng)版本漏洞開放端口和服務(wù)利用報(bào)文：ping arp請(qǐng)求 tcpsyn netbioskalilinux攻擊之?dāng)嗑W(wǎng)：（原理arp欺騙）攻擊機(jī)kali6.50受害者win76.116arpspoof -i eth0 -t16 -i網(wǎng)卡 -t 目標(biāo)IP 網(wǎng)關(guān)防御：后面再講arp協(xié)議原理簡介：（AddressResolutionProtocol）,地址解析協(xié)議，通過目的IP地址，請(qǐng)求對(duì)方MAC地址的過程。arp 過程：cmdarp -a 顯示arp緩存arp -d * 清空arp緩存表arp報(bào)文種類：① PC1 >PC2arp 請(qǐng)求包:request 廣播注意：目標(biāo)mac為全F，該報(bào)文屬于廣播，交換機(jī)見到目標(biāo)mac為全F的報(bào)文會(huì)群發(fā)（泛洪）。dynamic 動(dòng)態(tài)緩存② PC1< PC2arp響應(yīng)包reply單M2 >M1arp -s 例如：arp -s 0 1c-87-2c-61-ff-25arp欺騙注意使用arp的響應(yīng)報(bào)文！！總結(jié)：arp協(xié)議太傻，誰給的響應(yīng)它都相信！arp攻擊與防御攻擊原理：利用arp傻傻的一根筋思維！別人說啥都信！原理：利用虛假的arprelay報(bào)文毒化pc或者網(wǎng)關(guān)的arp緩存表,arpreply報(bào)文會(huì)直接覆蓋自己當(dāng)前的arp表，后來的arpreply優(yōu)先！即兩頭哄騙技術(shù)！kali攻擊機(jī)：arpspoof-t0欺騙6.16.80（將6.80的mac偽裝成B，通過arprelay報(bào)文發(fā)送給6.1）arpspoof -t 0 欺騙6.80聲稱自己就是6.1（將6.1的mac偽裝成B，通過arprelay報(bào)文發(fā)送給開啟kali的路由轉(zhuǎn)發(fā)能：echo 1 > /proc/sys/net/ipv4/ip_forwardctrl+shift+t linux里面切換窗口攻擊時(shí)通不攻擊時(shí)也通 用戶網(wǎng)不中斷??！查看用戶隱私、限速、篡改用戶報(bào)文、欺騙釣魚！防御：dhcpsnooping +ip源防護(hù) +DAI arp限速360安衛(wèi)士開啟局域網(wǎng)防護(hù)dhcp snooping：dhcpsnoopingenable 全局dhcpsnoopingenablevlanint xxdhcpsnoopingenable或者vlan xxdhcpsnoopingenintxxxdhcpsnoopingtrusteddisplaydhcpsnoopinguser-bindarp報(bào)文限速功能：執(zhí)行命令arpspeed-limitsource-macmaximummaximum，配置根據(jù)任意源MAC地址進(jìn)行ARP報(bào)文限速的限速值。執(zhí)行命令arpspeed-limitsource-ipmaximummaximum，配置根據(jù)任意源IP地址進(jìn)行ARP報(bào)文限速的限速值。執(zhí)行命令arpanti-attackrate-limitenable，使能ARP報(bào)文限速功能。缺省情況下，未使能ARP報(bào)文限速功能（可選）執(zhí)行命令arpanti-attackrate-limitalarmenable，使能ARP報(bào)文限速丟棄告警功能。DAI動(dòng)態(tài)arpintxxxarpanti-attackcheckuser-bindenablearpanti-attackcheckuser-bindalarmenable，使能動(dòng)態(tài)ARP檢測丟棄報(bào)文告警功能（可選）arpanti-attackcheckuser-bindalarmthresholdthreshold，配置動(dòng)態(tài)ARP檢測丟棄報(bào)文告警閾值。（默認(rèn)是100）方法A：不啟用dhcp-snooping，使用user-bindstatic靜態(tài)建立ip-mac-接口檢查表項(xiàng)（這種方法適用于企業(yè)靜態(tài)給用戶配置ip地址的情況）全局 user-bindstaticip-addressmac-address0021-cccf-1d28interfaceEthernet0/0/2interfaceEthernet0/0/2ipsourcecheckuser-bindenable即可接在e0/0/2口的PC只能是31.7mac是1d28才可以通e0/0/2口 若ip和mac不匹配則報(bào)文將被直接丟棄方法B：dhcp協(xié)議原理DHCP（DynamicHostConfigurationProtocol）動(dòng)態(tài)主機(jī)配置協(xié)議，給用戶自動(dòng)分配ip地址、網(wǎng)關(guān)、DNS等參數(shù)?？梢蕴峁〥HCP功能的設(shè)備：路由器、家用路由器（小米、tp-link等）、防火墻、三層交換機(jī)、服務(wù)器用戶上網(wǎng)滿足參數(shù)：IP地址、網(wǎng)關(guān)、DNS等。配置：路由器：dhcpenable啟用dhcp功能inte0/0/0ipadd24dhcpselectglobal配置dhcp選擇從全局分配地址ippoolqq創(chuàng)建地址池qqgateway-list網(wǎng)關(guān)networkmaskip和掩碼dns-list14DNSdisippoolnameaaused 查看dhcp的分配記錄dhcpdiscover源地址：目標(biāo)地址：55廣播用戶請(qǐng)求地址的時(shí)候，將自己的mac地址封裝在dhcp的報(bào)文里面，服務(wù)器基于不同的mac地址來區(qū)分不同的計(jì)算機(jī)，進(jìn)而分配不同的ip地址。dhcp接入交換機(jī)：dhcpenabledhcpsnoopingvlan 1dhcpsnoopingenableintgi0/0/1將上聯(lián)口設(shè)置為信任接口（默認(rèn)所有的接口都是非信任口）dhcpsnoopingtrusteddhcp 耗盡攻擊kali攻擊機(jī)偽裝各種dhcp請(qǐng)求報(bào)文將dhcp地址池耗盡，使得受害者無法獲取ip地址win7虛機(jī)里面運(yùn)行ensp，使用路由器搭建dhcp服務(wù)，kali通過云彩橋接到交換機(jī)進(jìn)行dhcp耗盡攻擊.kali執(zhí)行攻擊指令：pig.py eth0路由器dhcp服務(wù)搭建ip pool aagateway-list54networkmaskdns-list14interfaceGigabitEthernet0/0/0ipaddress54dhcpselectglobal查看指令：dis ip pool name aa used防御：dhcp snooping 端口dhcp請(qǐng)求限速（個(gè)數(shù)）DHCPDOS攻擊工具：yersiniayersinia是一款底層協(xié)議入侵工具，它能偽裝多種協(xié)議的報(bào)文并實(shí)施欺騙和攻擊。例如：奪取生成樹stp的根角色，生成虛擬cdp（cisco發(fā)現(xiàn)協(xié)議）鄰居。在一個(gè)hsrp冗余型網(wǎng)絡(luò)環(huán)境中偽裝成一個(gè)活動(dòng)的路由器、制造假dhcp報(bào)文反饋，耗盡dhcp地址池等等。具體可以虛擬的報(bào)文如下：SpanningTreeProtocol(STP)CiscoDiscoveryProtocol(CDP)DynamicTrunkingProtocol(DTP)DynamicHostConfigurationProtocol(DHCP)HotStandbyRouterProtocol(HSRP)IEEE802.1QIEEE802.1XInter-SwitchLinkProtocol(ISL)VLANTrunkingProtocol(VTP)啟動(dòng)工具：yersinia -G用戶幾乎全部斷網(wǎng)由于大量dhcp廣播(2萬個(gè)/s)攻擊報(bào)文發(fā)出，導(dǎo)致路由器和其他終端幾乎斷網(wǎng)停止攻擊：針對(duì)dhcpDOS攻擊防御針對(duì)dhcpDos攻擊防御：storm-control 流量抑制及風(fēng)暴控制6.7 或者dhcp snooping+dhcpsnoopingcheck 9.7.2針對(duì)dhcp耗盡攻擊防御針對(duì)dhcp耗盡攻擊防御： dhcpsnooping+dhcpsnoopingmax-user-number 9.7.4 或者端口安全 8.6.1注意：針對(duì)用戶私接家用路由器依然有效。Kalilinux抓取妹子相冊(cè)win7（6.117）kali（6.50）網(wǎng)關(guān)（6.1）先來個(gè)arp欺騙arpspoof -t 17 開啟kali的路由轉(zhuǎn)發(fā)能（臨時(shí)）：echo 1 > /proc/sys/net/ipv4/ip_forwarddriftnet -i eth0 win7打開新浪首頁然后kali端：注意：只針對(duì)http的流量，https目前無法解析！Kalilinux攻擊之會(huì)話劫持會(huì)話劫持：內(nèi)網(wǎng)登陸他人微博貼吧百度ferret -i hamster等待受害者登陸bbs論壇win7上面： 主要登陸http類型帳戶564992630@回到kali：進(jìn)入個(gè)人后臺(tái)成功劫持Kalilinux攻擊之DNS原理：兩頭哄騙！釣魚網(wǎng)站：0（server2008）①修改DNS攻擊文件通過圖形界面修改也可以：echo 1> /proc/sys/net/ipv4/ip_forward開啟kali轉(zhuǎn)發(fā)②運(yùn)行攻擊工具ettercap③選擇網(wǎng)卡掃描IP選擇使用的網(wǎng)卡④執(zhí)行arp欺騙選中攻擊目標(biāo)：將網(wǎng)關(guān)6.1添加到target1將受害者6.113添加到target2執(zhí)行arp毒害，使得網(wǎng)關(guān)6.1認(rèn)為受害者6.113的mac是1a95(攻擊者mac），同時(shí)使得受害者6.113認(rèn)為網(wǎng)關(guān)的mac就是1a95(攻擊者mac）。受害者arp表：⑤dns欺騙攻擊后結(jié)果：受害者訪問任何網(wǎng)站都會(huì)解析成0原理：首先發(fā)送arp欺騙報(bào)文對(duì)網(wǎng)關(guān)路由器和受害者進(jìn)行arp欺騙，得手后利用dns欺騙工具對(duì)受害者的dns請(qǐng)求進(jìn)行偽裝應(yīng)答。注意：經(jīng)測試win10安裝360安全衛(wèi)士也可以攻擊成功。受害者網(wǎng)卡抓包：arp欺騙報(bào)文：DNS欺騙報(bào)文：arp欺騙攻擊arp欺騙攻擊.pcap1.73KBdnsdns欺騙攻擊.pcap218B利用ettercap還可以做的壞事情：竊取別人數(shù)據(jù)包、截獲目標(biāo)機(jī)器登陸路由器明文密碼以及郵箱賬號(hào)和密碼、查看妹子隱私和她瀏覽的網(wǎng)站、獲取目標(biāo)主機(jī)cookie登陸其個(gè)人隱私空間或論壇、dhcp欺騙等等等。參考鏈接：/archives/6068.html/617662.html/hkleak/p/5043063.html針對(duì)各種攻擊防范技針對(duì)各種攻擊防范技書14.6MB防御措施：dhcpsnooping+DAI+IPSG 端口安使用360安全瀏覽器+360安全衛(wèi)士防御措施：以上攻擊防御機(jī)制：360安全衛(wèi)士局域網(wǎng)防護(hù)默認(rèn)這些功能全部關(guān)閉，需要手動(dòng)打開電腦管家安裝并打開arp防火墻局域網(wǎng)密碼嗅探簡單攻擊工具cain局域網(wǎng)密碼嗅探Cain4.9漢化版密…3.rar3.03MB綠色軟件 需要安裝winpcapCain4.9漢化版密…3.rar3.03MB選擇網(wǎng)卡和ip 必須要發(fā)現(xiàn)ip地址上面的網(wǎng)卡下面那個(gè)網(wǎng)卡無效先點(diǎn)擊網(wǎng)卡然后再點(diǎn)擊嗅探器否則會(huì)說嗅探器未激活（在嗅探器里面掃描）arp欺騙等待時(shí)機(jī)113主機(jī)上網(wǎng)登陸賬號(hào)113：局域網(wǎng)限速和管控P2P終結(jié)者P2P終結(jié)者4.1.3pa…3.rar2.85MB注意：默認(rèn)全局限速規(guī)則下行100K 上行50k限速前：受害者 使用360瀏覽器ie瀏覽器均成功百度qq下載保存 5.08M/s限速后：98K/s常見局域網(wǎng)攻擊工具網(wǎng)絡(luò)執(zhí)法官V2.88網(wǎng)絡(luò)執(zhí)法官V2.88企…3.rar2.28MB建議在xp環(huán)境下安裝（安裝winpcap3.0軟件自帶）注意：該軟件只能使用winpcap3.0不兼容其他版本winpcap。因此和wireshark也無法兼容。選擇網(wǎng)卡3s時(shí)間掃描出本網(wǎng)段的用戶掃描原理：大量的arp廣播請(qǐng)求設(shè)置關(guān)鍵主機(jī)（可以設(shè)置多臺(tái)，一般可以將網(wǎng)關(guān)設(shè)置為關(guān)鍵主機(jī)）對(duì)用戶進(jìn)行管理：設(shè)定權(quán)限（復(fù)雜管理）手工簡單管理（中等復(fù)雜）鎖定和解鎖（簡單管理）UDP攻擊器UDP攻擊器V2.1pa…3.rar965.31KB攻擊可以是個(gè)人pc也可以是服務(wù)器 （殺敵一千自損800） 口可以是80 445 135等效果受害者消耗服務(wù)器60%的帶寬代理服務(wù)器攻擊DD…3.zip代理服務(wù)器攻擊DD…3.zip286.55KB 31f代理西刺代理ScanPortpassword…3.rar31.79KBX-Scan-v3.3passw…3.rarScanPortpassword…3.rar31.79KBX-Scan-v3.3passw…3.rar12.42MB（此版本只能在xp中使用）scanport快速掃描端口xscan掃描對(duì)方系統(tǒng)版本漏洞開放端口和服務(wù)簡單攻擊工具⑤：系統(tǒng)漏洞掃描windows安全公告網(wǎng)站：/zh-cn/security/bulletins系統(tǒng)漏洞掃描工具nessus下載/products/nessus/select-your-operating-system激活官網(wǎng)/products/nessus-home灰鴿子2008灰鴿子2008破解版…3.zip5.79MBPC（6.116）攻擊者 PC受害者（6.112）生成木馬程序 6.116屬于監(jiān)聽的ip地址先生成木馬生成的木馬文件想辦法將木馬文件放到受害者機(jī)器上運(yùn)行控制受害者：程序會(huì)自動(dòng)加入開機(jī)啟動(dòng)項(xiàng)，且每次啟動(dòng)會(huì)在后臺(tái)自動(dòng)運(yùn)行!!登陸防火墻USG6370：中等T級(jí)下一代防火墻：命令行界面密碼：Admin@123[ ]web-managerenable開啟web界面管理（開啟）web界面：默認(rèn)admin Admin@123修改后密碼統(tǒng)一為：abc-1234 abc-12345SecureCRT登陸軟件注意：遠(yuǎn)程SSH、telnet 登陸見后面章節(jié)課程。應(yīng)用場景：企業(yè)出口，關(guān)鍵服務(wù)器前面，運(yùn)營商，數(shù)據(jù)中心等工作模式：①透明網(wǎng)橋模式（二層交換機(jī)模式）②路由模式（三層路由模式）分類：形態(tài)：軟件防火墻、硬件防火墻功能：包過濾防火墻（老acl功能少）狀態(tài)防火墻（新墻功能多）安全設(shè)備：防毒墻、VPN設(shè)備、IPS、IDS、漏洞掃描設(shè)備、WAF（web應(yīng)用防火墻）、上網(wǎng)行為管理設(shè)、網(wǎng)閘、堡壘機(jī)（審計(jì)）等等區(qū)域和地址規(guī)劃默認(rèn)區(qū)域：trust untrust dmz localDMZ：demilitarizedzone 隔離區(qū)非軍事化區(qū)域?；饏^(qū)一般放服務(wù)器firewall zone trustadd int gi 1/0/0 將接口加入trust區(qū)域允許接口被pingint gi1/0/0service-manageping permit：local_anysecurity-policyrulenamelocal_anysource-zonelocaldestination-zone actionpermit向?qū)渲们蹇辗阑饓ε渲茫?lt;>resetsaved-config 停止 啟動(dòng)向?qū)渲玫膮?shù)：①區(qū)域規(guī)劃②接口ip地址③指向運(yùn)營商的缺省路由④基于源地址轉(zhuǎn)換的NAT⑤將默認(rèn)的安全策略改為放行③缺省路由配置：ip route-s 0 ④nat配置nat-policyrulenametrust_ISPsource-zonetrustegress-interfaceGigabitEthernet1/0/2actionnateasy-ip⑤將默認(rèn)的安全策略改為放行security-policydefaultactionpermit防火墻轉(zhuǎn)發(fā)原理老設(shè)備：早期包過濾防火墻是按照“逐包檢測”機(jī)制轉(zhuǎn)發(fā)。新設(shè)備：轉(zhuǎn)發(fā)機(jī)制：“狀態(tài)檢測”機(jī)制，“狀態(tài)檢測”機(jī)制以流量對(duì)報(bào)文進(jìn)行檢測和轉(zhuǎn)發(fā)，即對(duì)一條流量的第一個(gè)報(bào)文內(nèi)容。這個(gè)“狀態(tài)”就是我們平常所述的會(huì)話表項(xiàng)(sessiontable)。這種機(jī)機(jī)制。五元組：即源IP地址和目的IP過判斷IP數(shù)據(jù)報(bào)文報(bào)文的五元組，就可以判斷一條數(shù)據(jù)流相同的IP數(shù)據(jù)報(bào)文?；跁?huì)話（狀態(tài)）session的轉(zhuǎn)發(fā)首包：建立會(huì)話的過程 去包回包：基于會(huì)話回包dis firewallsession table查看防火墻會(huì)話表放行由trust到dmzsecurity-policyrulenametrust_dmzsource-zonetrustdestination-zoneactionpermitsecurity-policyrulenametrust_dmzsource-zonetrustdestination-zonedmzsource-address24destination-addressservicetelnetserviceicmpaction多通道協(xié)議（多信道，多會(huì)話）大部分多媒體應(yīng)用協(xié)議（如H.323、SIP）、FTP、netmeeting使用約定的固定端口來初始化一個(gè)控制連接，再動(dòng)態(tài)的選擇端口用于數(shù)據(jù)傳輸。端口的選擇是不可預(yù)測的，其中的某些應(yīng)用甚至可能要同時(shí)用到多個(gè)端口。老墻只能對(duì)單通道協(xié)議進(jìn)行精細(xì)管控，新墻才可以靈活控制多通道協(xié)議報(bào)文。單通道協(xié)議：http（www）多通道協(xié)議：FTP注意：數(shù)據(jù)通道的隨機(jī)端口是通過查看控制通道的協(xié)商報(bào)文（主要是查看控制協(xié)商報(bào)文應(yīng)用層的信息，ASPF）推算出來。ASPFserver-map表：servermap定義：由特殊協(xié)議報(bào)文（例如：多通道）動(dòng)態(tài)產(chǎn)生的臨時(shí)放行相關(guān)業(yè)務(wù)數(shù)據(jù)的特殊通道。主要：數(shù)據(jù)一旦匹配了“特殊通道”（server-map表項(xiàng)），則不再查找普通的包過濾策略，快速放行。查看servermap表：dis firewallserver-map特定協(xié)議端口更改(端口識(shí)別、端口映射）更改端口指令：FW：aclnumber2000rule permitsource 0 匹配訪問的ftp服務(wù)器port-mapping ftp port 31 acl 2000調(diào)試：安全策略：只允許tcp31號(hào)端口即可ftp服務(wù)器：客戶端訪問：web界面配置：常見安全策略源NAT轉(zhuǎn)換CLI:nat-policyrulenamesource-zonetrustegress-interfaceGigabitEthernet1/0/2actionnateasy-ip端口映射（natserver）將內(nèi)網(wǎng)地址的23端口映射成公網(wǎng)地址的23端口。注意：如果想檢測由防火墻到服務(wù)器的連通性，需放行l(wèi)ocal到dmz的流量。命令行：natserveraa0protocoltcpglobalwwwinsidewwwno-reverseTelnet遠(yuǎn)程管理防火墻①只用密碼telnet server enableint gi1/0/0service-managetelnetpermituser-interfacevty04protocolinboundallauthentication-modepasswordsetauthenticationpassword cipher userprivilegelevel15②使用用戶名和密碼telnet server enable（注意：默認(rèn)防火墻telnet服務(wù)關(guān)閉aaamanager-user adminservice-typetelnet webuser-intervty04authentication mode protocol inbound allint gi1/0/0service-managetelnetpermit缺點(diǎn)：明文傳輸SSH遠(yuǎn)程管理防火墻rsa local-key-paircreate 產(chǎn)生密鑰對(duì)int gi1/0/0service-managesshpermituser-intvty 0 4authentication-mode protocolinbound ssh 默認(rèn)就是允許sshaaamanager-userxiaogepassword cipher service-typesshlevel15防火墻需開啟ssh服務(wù)并指定用戶名和密stelnet serverenable開啟ssh服務(wù)sshuserxiaogesshuserxiaogeauthentication-typepasswordsshuserxiaogeservice-typestelnet客戶端路由器：stelnet注意：首次登錄必須重新更改密碼，且要符合復(fù)雜度要求例如CCNPa1234，且不能使用歷史密碼。更改密碼后會(huì)被踢出然后重新登錄。注意1：ssh只能使用用戶名和密碼的方式登錄。注意2：配置用戶名和密碼時(shí)千萬不要加空格再回車。允許防火墻對(duì)tracert路徑探測回顯配置防火墻允許tracert回顯：icmp ttl-exceeded send原理：tracert x.x.x.x 用于探測去往某目標(biāo)經(jīng)過的三層設(shè)備的個(gè)數(shù)。tracert原理：發(fā)送探測報(bào)文（UDP報(bào)文）ttl=1（第一跳）ttl=2（第二跳）。。。依次類推，當(dāng)中間的三層設(shè)備收到ttl值等于1的報(bào)文時(shí)認(rèn)為發(fā)生環(huán)路，報(bào)文無法繼續(xù)轉(zhuǎn)發(fā)。并回饋一個(gè)icmp的報(bào)文通知源端。探測報(bào)文路由器回顯報(bào)文：注意：防火墻為了安全起見（不暴露自己的ip地址），默認(rèn)情況下不處理ttl=1的探測報(bào)文，收到該報(bào)文后直接丟棄，且不會(huì)回應(yīng)。因此tracert 時(shí)，會(huì)有* * * 出現(xiàn)是多數(shù)是防火墻。將防火墻配置成透明交換機(jī)FW:intgi1/0/0portswitch portlink-typeaccess注意：默認(rèn)情況下，華為設(shè)備，相同安全區(qū)域不同接口可以直接互訪。如果想阻止互訪可以配置例如：trust_trust動(dòng)作為deny的安全策略。例如：配置安全策略只允許pc1telnet訪問pc5，其他流量deny。注意：防火墻配置成透明模式后，接口可以歸屬在不同的安全區(qū)域，方便配置精細(xì)化的安全策略。例如下圖：在防火墻上面配置vlan10intgi1/0/0portswitch 將防火墻接口配置為交換機(jī)接port link-typeaccessport default vlan 10將接口劃分到不同的安全區(qū)域以實(shí)現(xiàn)精細(xì)化的管控：例如：只允許trust1<>trust2 telnet 流量將防火墻配置成三層核心交換機(jī)sw1:vlanbatch1525interfaceEthernet0/0/1portlink-typetrunkporttrunkallow-passvlan1525#interfaceEthernet0/0/2portlink-typeportdefaultvlan15#interfaceEthernet0/0/3portlink-typeaccessportdefaultvlan25sw2:vlan10interfaceEthernet0/0/1portlink-typetrunkporttrunkallow-passvlan10#interfaceEthernet0/0/2portlink-typeaccessportdefaultvlan10注意1：由于vlan10用戶跨越多個(gè)安全區(qū)域，因此將SVI虛擬接口vlan10劃分在trust區(qū)域。如果想做trust1（vlan10用戶在區(qū)域）和svi1（vlan15用戶）互訪的安全策略時(shí)，只需做trust<>svi1區(qū)域的策略即可。即vlan間互訪時(shí)使用三層SVI接口所在的安全區(qū)域配置策略。但是相同vlan互訪（如：trust1和trust2區(qū)域）還需要配置相應(yīng)的安全策略，這樣方便實(shí)施更加精細(xì)化的管控。注意2：防火墻配置安全策略對(duì)vlan間的互訪報(bào)文做控制時(shí)，安全區(qū)域一定要匹配svi接口（vlanif接口）所在的區(qū)域。（尤其針對(duì)物理接口和SVI接口劃分在了不同區(qū)域）。雙機(jī)熱備基礎(chǔ)配置：防火墻接口已規(guī)劃區(qū)域放行l(wèi)ocal_to_any防火墻接口都允許ping傳統(tǒng)vrrp在防火墻上執(zhí)行存在的缺陷：防火墻vrrp需要解決的兩個(gè)問題：①左右vrrp組主備不一致，切換不一致（VGMP，不需特殊配置自動(dòng)加入vgmp組，左右vrrp組要切一起切）②安全策略配置和會(huì)話狀態(tài)同步（會(huì)話同步HRP)VRRP配置：FW1:intgi1/0/0vrrpvrid1virtual-ipactiveintgi1/0/1vrrpvrid2virtual-ipactiveFW2:intgi1/0/0vrrpvrid1virtual-ipstandbyintgi1/0/1vrrpvrid2vritual-ipstandbyHRP配置：FW1:hrpenablehrpinterfacegi1/0/6remote53FW2:hrpenablehrpstandby-devicehrpintgi1/0/6remote54注意1：默認(rèn)處于standby狀態(tài)的設(shè)備不允許配置安全策略，只允許在主設(shè)備配置安全策略，且安全策略會(huì)自動(dòng)同步到備設(shè)備上面。開啟命令：hrpstandbyconfigenable+B表示配置已經(jīng)同步到備設(shè)備上面。注意2：hrp的同步不是所有的都會(huì)同步，例如靜態(tài)路由配置就不會(huì)同步?？梢酝絻?nèi)容：要備份的連接狀態(tài)數(shù)據(jù)包括TCP/UDP的會(huì)話表、ServerMap表項(xiàng)、動(dòng)態(tài)黑名單、NO-PAT表項(xiàng)、ARP表項(xiàng)以及相關(guān)安全策略配置。（路由配置時(shí)不同步的）注意3：主設(shè)備配置由trust_to_untrust放行策略，才可通信注意4：默認(rèn)開啟搶占，且搶占延遲60s。調(diào)試命令：dishrpstate測試1：R1pingR2通信??！可以做冗余性測試！！測試2：R1telnetR2查看兩個(gè)FW的會(huì)話狀態(tài)是否都有web配置HRP：HuaweiRedundancyProtocolAAA用戶管理賬號(hào)分類1：管理防火墻賬號(hào)分類2：上網(wǎng)穿越防火墻或者vpn用戶角色：權(quán)限注意：模擬器沒有此選項(xiàng)：真機(jī)有GRE VPN原理vpn：virtualprivatenetwork虛擬專用網(wǎng)絡(luò)原理：封裝兩層IP包頭，私網(wǎng)包頭+公網(wǎng)包頭利用公網(wǎng)包頭穿越公網(wǎng)環(huán)境，到達(dá)對(duì)端后丟棄公網(wǎng)包頭露出私網(wǎng)包頭繼續(xù)在內(nèi)網(wǎng)傳輸。即“改頭換面”偽裝法！防火墻-vpnGREvp…防火墻-vpnGREvp…成.zip88.82KB前提：兩邊公網(wǎng)地址可達(dá)①FWlocal_any安全策略②FW缺省路由③FW公網(wǎng)口開通ping管理方便測試FW1：GREvpn配置：路由配置(感興趣流量）：安全策略配置：注意：不要忘記來自分支機(jī)構(gòu)主動(dòng)訪問總部的流量！測試：命令行配置：FW1：interfaceTunnel0ipaddresstunnel-protocolgrekeepalivesourcedestinationgrekeycipher123grechecksumaliastunnel0undoservice-manageenable（默認(rèn)隧道口地址不允許ping）配置感興趣流量路由：FW1:iproute-static加密解密技術(shù)加密三個(gè)要素：①數(shù)據(jù) ②算法 ③密鑰加密技術(shù)：對(duì)稱加密算法：rc4、des、3des、aes非對(duì)稱加密算法：rsa對(duì)稱和非對(duì)稱：對(duì)稱：加密密鑰=解密密鑰。非對(duì)稱：加密密鑰不等于解密密鑰。非對(duì)稱密鑰加密算法：rsa（公鑰、私鑰）公鑰加密 私鑰解密，即使公鑰被第三方竊取也無法破解數(shù)據(jù)。例如防火墻上：rsalocal-key-paircreate 指令產(chǎn)生密鑰對(duì)用ssh加密對(duì)稱加密：優(yōu)點(diǎn)速度快 缺點(diǎn)不安全非對(duì)稱加密：優(yōu)點(diǎn)安全 缺點(diǎn)速度對(duì)稱加密和非對(duì)稱加密相結(jié)合：密鑰交換①所有數(shù)據(jù)采用對(duì)稱密鑰加密（快速）②采用非對(duì)稱加密傳輸密鑰（對(duì)稱加密時(shí)使用的密鑰）（安全）數(shù)據(jù)完整性校驗(yàn)：散列算法：md5 sha 校驗(yàn)數(shù)據(jù)完整性（不可逆哦/Hash_md5Hash_md5校驗(yàn).exe66.5KBipsecvpn簡單配置GREvpn前提：接口區(qū)域 公網(wǎng)地址可達(dá) 缺省路由ipsec vpn原理簡介IKE：Internet keyexchange 互聯(lián)網(wǎng)密鑰交換協(xié)議ISAKMP：InternetSecurityAssociationKeyManagementProtocolIKE為IPSec協(xié)商生成密鑰,供ipsec報(bào)文加解密和驗(yàn)證使用。三個(gè)階段：①IKE密鑰協(xié)商階段（建立IKESA）②IPsec參數(shù)協(xié)商階段（建立IPsecSA）③加密傳輸數(shù)據(jù)（加密傳輸數(shù)據(jù)）調(diào)試命令：階段①disikesa resetikesa階段②disipsec sa reset ipsec sa階段③dis ipsec statistics 查看經(jīng)過ipsec加解密的報(bào)文具體過程如下：當(dāng)一個(gè)報(bào)文從某接口外出時(shí)，如果此接口應(yīng)用了IPSec，匹配。如果找到匹配的安全策略，會(huì)查找相應(yīng)的安全聯(lián)盟。如果安全聯(lián)盟還沒有建立，則觸發(fā)IKE進(jìn)行協(xié)商。IKE首先建立第一階段的安全聯(lián)盟，即IKESA。在第一階段安全聯(lián)盟的保護(hù)下協(xié)商第二階段的安全聯(lián)盟，即IPSecSA。使用IPSecSA保護(hù)通訊數(shù)據(jù)。注意：安全聯(lián)盟是單向的。IKEv1主模式協(xié)商過程：（了解即可）IKEv1野蠻模式協(xié)商過程：（了解即可）常見IPsec報(bào)文封裝模式：（了解即可）ESP**AH隧道模式**ESP+隧道AH+隧道傳輸模式ESP+傳輸AH+傳輸DH（Diffie-Hellman）交換及密鑰分發(fā)：Diffie-Hellman算法是一種公共密鑰算法。通信雙方在不傳送密鑰的情況下通過交換一些數(shù)據(jù)（素材），計(jì)算出共享的密鑰，加密的前提是交換加密數(shù)據(jù)的雙方必須要有共享的密鑰（例如：配置好的預(yù)共享密鑰）。即一句話通過交換素材算出密鑰。即使素材被黑客截獲也無法算出密鑰。完美向前保密（PFS：PerfectForwardSecrecy）完美向前保密，即每一密鑰均是“獨(dú)一無二”的，這樣一個(gè)密鑰被破解，并不影響其他密鑰的安全性，因?yàn)檫@些密鑰間沒有派生關(guān)系。所以若有攻擊者破解了一個(gè)密鑰后，只能訪問受這個(gè)密鑰保護(hù)的所有數(shù)據(jù)報(bào)文，而受其它密鑰保護(hù)的數(shù)據(jù)報(bào)文還是無法破解。ipsecvpn排錯(cuò)和診斷（特別注意：不同廠商）ipsecvpn精細(xì)化配置前提：兩邊公網(wǎng)接口確?？梢詐ing通①防火墻上面配置缺省路由指向運(yùn)營商②防火墻上面公網(wǎng)接口運(yùn)行ping③local_any安全策略vpn配置參照2.46IPsecvpn簡單配置實(shí)驗(yàn)ipsecvpn配置：精細(xì)化的安全策略配置總部端：創(chuàng)建地址對(duì)象和服務(wù)方便調(diào)用放行安全策略①放行隧道協(xié)商的安全策略IKE和ESP②放行總部到分支的業(yè)務(wù)流量創(chuàng)建IPsecvpn：配置安全提議：華為和華為設(shè)備對(duì)接默認(rèn)的算法都是一致的全部保持默認(rèn)即可分支端配置：和總部對(duì)稱公網(wǎng)口允許ping：方便檢測路由對(duì)象安全策略：ipsecvpn：安全提議：最終測試：內(nèi)網(wǎng)通信調(diào)試：UTM技術(shù)UTM技術(shù)V2.0.pptx1MBUSG：UnifiedSecurityGateway統(tǒng)一安全網(wǎng)關(guān)（防火墻firewall）UTM：UnifiedThreatManagement 統(tǒng)一威脅管理IPS：IntrusionPreventionSystemIDS：IntrusionDetectionSystemVirus反病毒DPI：DeepPacketInspection基于數(shù)據(jù)包的深度檢測技術(shù)（內(nèi)容檢測）華為安全產(chǎn)品：/cn/products/enterprise-networking/security/firewall-gateway常見網(wǎng)絡(luò)協(xié)議：http:上網(wǎng)網(wǎng)頁https：上網(wǎng)網(wǎng)頁SMTP:SimpleMailTransferProtocol即簡單郵件傳輸協(xié)議上傳POP3：PostOfficeProtocol3，即郵局協(xié)議的第3個(gè)版本下載IMAP:InternetMailAccessProtocol即交互式郵件存取協(xié)議下載NFS：NetworkFileSystem即網(wǎng)絡(luò)文件系統(tǒng)SMB：ServerMessageBlock共享信息塊 cifs（CommonInternetSystem）、samba。兩種攻擊行為：緩沖區(qū)溢出：發(fā)送偽造特定報(bào)文（應(yīng)用層）非授權(quán)指令，甚至可以取得系統(tǒng)特權(quán)。CC攻擊：ChallengeCollapsar，主要用來攻擊網(wǎng)頁，攻擊者借助代理服生成指向受害主機(jī)的合法請(qǐng)求，實(shí)現(xiàn)DDOS和偽裝。IPS簽名：開源安全社區(qū)：/index.php/Main_Page/wiki/Main_Page/新建入侵防御配置文件：在創(chuàng)建IPS策略時(shí)，如果策略模板能夠滿足應(yīng)用場景或者與應(yīng)用場景相似，則可直接在策略中時(shí)簡化配置。系統(tǒng)已經(jīng)提供了以下策略模板：Default：默認(rèn)模板。該模板可以應(yīng)用在一般的入侵防御場景中。Ids：該模板適用于當(dāng)設(shè)備以IDS（旁路）模式部署時(shí)的通用場景。Dmz：該模板適用于當(dāng)設(shè)備部署在DMZ區(qū)域前的場景。web_server：該模板適用于當(dāng)設(shè)備部署在Web服務(wù)器前面的場景。mail_server：該模板適用于當(dāng)設(shè)備部署在Mail服務(wù)器前面的場景。dns_server：該模板適用于當(dāng)設(shè)備部署在DNS服務(wù)器前面的場景。file_server：該模板適用于當(dāng)設(shè)備部署在File服務(wù)器前面的場景。AV反病毒配置終端安全SACG：SecurityAccessControlGateway安全準(zhǔn)入控制網(wǎng)關(guān)SM：管理服務(wù)器，管理AD服務(wù)器、防病毒服務(wù)器等SC：控制服務(wù)器，控制是否準(zhǔn)入（需要和SACG聯(lián)動(dòng)）注意：一般將SMSC安裝在一臺(tái)服務(wù)器上面。準(zhǔn)入控制:802.1X認(rèn)證、主機(jī)防火墻（終端安裝客戶端軟件）、準(zhǔn)入控制網(wǎng)關(guān)硬件身份認(rèn)證:是否合法是否準(zhǔn)入補(bǔ)丁更新等認(rèn)證前域：身份認(rèn)證前終端所能訪問區(qū)域隔離域：身份認(rèn)證后，安全認(rèn)證不通過終端需進(jìn)行安全修復(fù)的區(qū)域限的區(qū)域Agilecontroller：敏捷控制器下載鏈接：/enterprise/zh/sdn-controller/agile-controller-campus-pid-21085964/softwareAgileController-典型配置舉例下載鏈接：/enterprise/zh/doc/DOC1000072861/?idPath=7919710%7C21782050%7C22318419%7C2